IT治理“上能通天” 使CIO“下能達(dá)地”

申請免費(fèi)試用、咨詢電話：400-8352-114

企業(yè)風(fēng)險控制需要IT治理，然而它的具體應(yīng)用也要考慮中國國情的特殊性。

信息技術(shù)從其誕生，一直至今，絕大多數(shù)的企業(yè)和個人都認(rèn)識到了它的威力。信息技術(shù)的魔力和信息技術(shù)黑洞就像一對孿生兄弟，成為信息化建設(shè)過程中一對由來已久的矛盾。要投資IT嗎?要搞信息化建設(shè)嗎?答案都是肯定的，可是到底如何才能使其回報對得起自己的投入呢?

在如今的信息化水平下，即便是國外較為發(fā)達(dá)的狀況下，一談到IT相關(guān)問題，大多數(shù)人想到的仍然是管理與控制，而不是“治理”。

國外尚且如此，那么國內(nèi)呢?我們到底需不需要IT治理呢?IT治理真的只是一個概念嗎?IT治理的確“上能通天”，可是對于務(wù)實(shí)的中國CIO來講，更需要的是“下能達(dá)地”。

“中國式”IT治理

我們必須承認(rèn)一點(diǎn)，IT治理的確不是企業(yè)的任何發(fā)展階段都需要的，而是企業(yè)信息化發(fā)展到一定階段的產(chǎn)物。一個尚處于手工管理信息，或者IT投資額所占比例不大，影響較弱時，談IT治理有些過于“陽春白雪”。

但企業(yè)要想強(qiáng)大—解決了生存問題再圖謀更大發(fā)展時，IT治理的作用就非常突出。

中國的企業(yè)是否需要IT治理，不能一概而論。事實(shí)上，目前已有一些我國企業(yè)正在或已經(jīng)實(shí)施了IT治理，只不過有些不這么稱呼罷了，畢竟信息化建設(shè)越深入就越演變成一種變革，要的只是實(shí)際效果。比如政府的金財工程也提出了IT治理模型，中化集團(tuán)在CIO彭勁松的領(lǐng)導(dǎo)下也實(shí)施了基于COBIT的IT治理實(shí)踐，再比如深圳三九醫(yī)貿(mào)公司的CIO李士峰提出成立IT項目委員會負(fù)責(zé)公司所有IT項目的審批、驗收、資金控制、人員職權(quán)和考核等，拉開了IT治理的帷幕。

同時，IT治理在中國會遇到許多國外沒有的特殊困難，也是不容回避的事實(shí)。

2007年5月31日，中國網(wǎng)通集團(tuán)所屬的中國網(wǎng)通集團(tuán)(香港)有限公司以零缺陷的測試結(jié)果通過了普華永道會計事務(wù)所對其財產(chǎn)報告的內(nèi)控審計，成為率先過關(guān)美國《薩班斯—奧克斯利法案》404條款的國內(nèi)電信運(yùn)營商。有人說，這標(biāo)志著國內(nèi)運(yùn)營商開始進(jìn)入“后法規(guī)遵從”時代，運(yùn)營商將面臨審計合格后的持久性內(nèi)控建設(shè)。

實(shí)際上，自2004年年末，網(wǎng)通就開始推進(jìn)內(nèi)控體系建設(shè)，確立了風(fēng)險管理與內(nèi)控體系建設(shè)的指導(dǎo)原則和實(shí)施步驟。作為公司薩班斯法案小組組長的網(wǎng)通CFO李福申曾表示：“原來我們過度地把西方的東西看成和中國的水火不容，其實(shí)并不一定如此。不要僵化地理解和執(zhí)行美國的公司治理和404條款，一定要和所在國家的實(shí)際情況相結(jié)合。”

黃先生是國內(nèi)某銀行軟件開發(fā)部的成員，作為軟件的開發(fā)者，他對軟件開發(fā)過程中的安全和和法規(guī)遵從兩方面都不太感興趣。

他說，“這不是我們考慮的問題。法規(guī)遵從是在業(yè)務(wù)部門提需求時，銀行的法律合規(guī)部門介入，看提出的需求符不符合法律的需要。我們只需要滿足業(yè)務(wù)部門的需求——業(yè)務(wù)部門都很強(qiáng)勢，只要按時把項目完成，其他都可以忽略。”

在中國，有很多有中國特色的特例。很多情況可以輕描淡寫用一句話帶過，那就是國情不同。但從某種程度上來說，是否重視安全和法規(guī)遵從，反應(yīng)了企業(yè)對這兩個問題的態(tài)度。企業(yè)要意識到IT治理不是一個部門的問題，而是整體的一個架構(gòu)。真正的安全應(yīng)該是端到端的整體安全，隨著企業(yè)的整體安全越來越被關(guān)注，也許，企業(yè)的軟件開發(fā)部應(yīng)該和法律合規(guī)部一起思考這個問題。畢竟在軟件開發(fā)期間把這個漏洞找出，成本會大大降低，很多用戶缺少的是提前防御的意識。

一些國際廠商也在對用戶宣揚(yáng)這樣的理念。IBM公司在2007年7月20日對外公布完成了對Watchfire公司的收購，在Rational軟件中加入了安全和法規(guī)遵從的部分。在軟件開發(fā)的源頭加入控制安全和法規(guī)遵從，也許可以使軟件更安全。但要想使企業(yè)更安全，需要改變的是人的意識。

我們需要全新的安全

再來說說安全，對于企業(yè)來說，安全問題無疑是一個至關(guān)重要的問題。在中國，只要你不去美國上市，薩班斯—奧克斯利法案好像離我們很遙遠(yuǎn)。

而在美國，企業(yè)都會被要求對公司實(shí)施安全方面的控制，否則CIO、CEO會受到僅次于謀殺罪名的法律制裁。

新加坡的一家銀行，有500個小額帳戶的信息被泄露，導(dǎo)致40000個用戶覺得此銀行不安全，把自己的資金轉(zhuǎn)走。500個小額帳戶和40000個用戶相比，儲戶更在乎的顯然是對銀行的信心。

即使是一些比較著名的公司，包括杜邦、黑莓、CNN等，也都在過去幾年中遭遇過安全方面的危險。杜邦、黑莓、CNN面臨的威脅都是來自于外部，而內(nèi)部的風(fēng)險往往都是來自于內(nèi)部的成員沒有很好的遵循內(nèi)部的規(guī)范。

據(jù)研究統(tǒng)計表明，差不多有85%的安全或風(fēng)險問題，都來自于企業(yè)的內(nèi)部。而這些風(fēng)險很大一部分都是來自于企業(yè)內(nèi)部跟IT相關(guān)的管理，也就是說現(xiàn)在越來越多的客戶認(rèn)識到安全管理或防范不只是構(gòu)建一道外界防御的工具。

IBM全球治理與風(fēng)險管理的戰(zhàn)略總監(jiān)Kristine Lovejoy曾經(jīng)是一家媒體的編輯，一次她去參觀一位用戶的數(shù)據(jù)中心時，工作人員向她開放了自己的全部設(shè)備。其中，路由器就放在門口放衣服的地方，沒有引起企業(yè)的重視。

舉這個例子，Kristine想說明，在一個企業(yè)中，員工的信息如果不進(jìn)行量化，會造成很大的風(fēng)險，因為他們不知道什么是可以透露的信息，什么是不能泄漏的信息，以及他們的安全級別。

根據(jù)一家研究機(jī)構(gòu)的統(tǒng)計，80%的CIO認(rèn)為企業(yè)的安全措施要從頭開始。用戶采購了很多相關(guān)工具，但是他們互相不關(guān)聯(lián)，不集成，應(yīng)用起來比較復(fù)雜。傳統(tǒng)的點(diǎn)到點(diǎn)的安全解決方案不再起作用，容易造成數(shù)據(jù)孤島和冗余成本，并且復(fù)雜性高、資產(chǎn)應(yīng)用低效。用戶需要一種全新的，基于流程的安全管控方式。

有鑒于此，很多企業(yè)開始推廣全新的端到端安全解決方案。華為和北電都推出了針對網(wǎng)絡(luò)的端到端安全解決方案。2006去年10月，IBM耗資十二億美元收購了ISS，并隨即開始將ISS與IBM全球信息科技服務(wù)部原有的企業(yè)IT安全服務(wù)能力進(jìn)行無縫整合，以期充分利用ISS主動防御集成安全平臺以及前瞻性安全解決方案，完善與強(qiáng)化IBM的整體安全架構(gòu)體系。

我們今天所處的復(fù)雜IT環(huán)境決定，任何局部的、支零破碎的安全技術(shù)或方案都不足以應(yīng)對形形色色的風(fēng)險問題。企業(yè)需要的是由最先進(jìn)的產(chǎn)品和技術(shù)組成的‘端到端’的風(fēng)險管理解決方案，只有這樣他們才能確保業(yè)務(wù)數(shù)據(jù)的安全，并獲得對法規(guī)遵從性的管理。

且不論這是不是商家的炒作，IT治理到底是蜜糖還是毒藥，全看我們怎么行動。橘生淮南則為橘,生于淮北則為枳。但愿IT治理到了中國，不要變成了壓垮中國CIO的最后一根稻草。

你信任你的員工嗎?

北京一家軟件企業(yè)很早就有了風(fēng)險管理意識，比如把研發(fā)部門所有臺式機(jī)的機(jī)箱都額外封加一個外殼，所有USB接口也都封鎖，所有研發(fā)人員只能登錄內(nèi)網(wǎng)，不能瀏覽外網(wǎng)。“即使更換一個電腦鼠標(biāo)，也必須告訴公司的IT部門，會有專門人員來進(jìn)行更換。”

這件事從安全角度反應(yīng)出了這家公司的企業(yè)文化—不太信任員工。從安全的角度看，企業(yè)的風(fēng)險管理容易陷入兩個極端：要么充分相信員工，所有的信息資源都共享;要么就是一點(diǎn)都不信任員工。而從風(fēng)險管理的實(shí)質(zhì)來看，這些都非IT治理的初衷，風(fēng)險管理和安全管理做到恰如其分，就會使企業(yè)業(yè)務(wù)流程更加自動化和有效。

來源：賽迪網(wǎng)